[发明专利]一种RPKI中认证机构资源异常分配的检测方法在审
申请号: | 202010043887.8 | 申请日: | 2020-01-15 |
公开(公告)号: | CN111262683A | 公开(公告)日: | 2020-06-09 |
发明(设计)人: | 彭素芳;刘亚萍;张硕 | 申请(专利权)人: | 中南大学 |
主分类号: | H04L9/00 | 分类号: | H04L9/00;H04L9/32 |
代理公司: | 长沙中科启明知识产权代理事务所(普通合伙) 43226 | 代理人: | 匡治兵 |
地址: | 410083 *** | 国省代码: | 湖南;43 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 一种 rpki 认证 机构 资源 异常 分配 检测 方法 | ||
本发明公开了一种RPKI中认证机构资源异常分配的检测方法,目的是解决CA资源分配的未经授权分配、重复分配及重叠分配的资源异常问题。技术方案是先在CA和RP即依赖方之间构建CA资源异常分配检测系统,在CA添加发送模块,CA资源异常分配检测系统由解析模块、检测模块、存储模块组成;CA颁发资源证书后,发送模块将资源证书及资源证书的父证书发送到CA资源异常分配检测系统,解析模块进行资源的解析,检测模块对资源进行未经授权分配检测、资源重复分配检测和资源重叠分配检,同时RP周期性地对通过CA资源异常分配检测系统检测的证书进行同步;采用本发明可解决CA的所有资源异常分配问题,增强了RPKI中资源分配的安全性。
技术领域
本发明属于路由安全技术领域,尤其涉及一种RPKI(Resource Public KeyInfrastructure,资源公共密钥基础架构)中认证机构即CA(Certificate Authority)资源异常分配的检测方法。
背景技术
互联网被划分为许多较小的自治系统(Autonomous System,AS),目前,自治系统之间的路由选择协议是BGP(Border Gateway Protocol,边界网关协议),BGP协议在安全方面的设计存在较大的不足:BGP协议默认接受AS发起的任何路由通告,这就意味着,即使一个AS在网络上发起一个不属于自己的IP地址前缀的路由通告,这一路由通告也会被其他的AS接受并继续传播。BGP的这一安全缺陷容易导致一种典型的互联网安全威胁——路由劫持。现已发生的典型的路由劫持事件包括:1997年4月的AS7007事件、2004年12月的土耳其电信集团劫持互联网事件、2008年2月的巴基斯坦劫持YouTube事件,以及2014年2月的加拿大流量劫持事件等。路由劫持对互联网的正常运行影响非常大,可能会导致路由黑洞、流量窃听以及拒绝服务攻击等。RPKI的提出正是为了解决路由劫持,目前,RPKI在全球的部署范围也正在逐步地扩大,尤其是在南美洲和欧洲,以及全球多个国家和地区都已经开始或完成了RPKI的实际部署工作。
针对域间路由系统存在的安全问题,RPKI通过构建一个公钥证书体系来完成对互联网码号资源(Internet Number Resource,INR)的所有权(即分配关系)和使用权(即路由源授权)的认证,并以此“认证信息”来指导BGP中边界路由器的路由决策,帮助其检验BGP报文中路由起源信息的合法性和真实性,从而有效地防止路由劫持的发生。其中,INR包含IP资源和AS资源。图1为RPKI的模块组成,如图1所示,RPKI主要包括CA和RP(Relying Party,依赖方)两个机构,CA机构负责资源分配,即进行证书及相关签名对象的颁发工作,图中的IANA、APNIC、CNNC等均为CA机构,RP机构用来同步CA机构颁发的证书及签名对象,BGP路由模块通过向RP获取路由授权信息进行路由的起源认证。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中南大学,未经中南大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202010043887.8/2.html,转载请声明来源钻瓜专利网。